Οι ερευνητές της Kaspersky Lab εξέτασαν την ασφάλεια 13 car sharing εφαρμογών (κοινής χρήσης αυτοκινήτων) από κατασκευαστές οικιακών συσκευών παγκοσμίως – συμπεριλαμβανομένων κατασκευαστών από τη Ρωσία, τις ΗΠΑ και την Ευρώπη. Οι ειδικοί της εταιρείας ανακάλυψαν ότι όλες οι εφαρμογές περιέχουν μια σειρά ζητημάτων ασφάλειας που μπορούν να επιτρέψουν στους εγκληματίες να πάρουν τον έλεγχο των κοινόχρηστων οχημάτων, είτε με μυστικότητα είτε με το πρόσχημα ενός άλλου χρήστη. Μόλις αποκτηθεί πρόσβαση μέσω της εφαρμογής, ένας εγκληματίας μπορεί να κάνει σχεδόν οτιδήποτε – από την κλοπή ενός οχήματος ή των λεπτομερειών του μέχρι την πρόκληση ζημιάς ή της χρήσης του για κακόβουλους σκοπούς.
Οι εφαρμογές έχουν σχεδιαστεί για να διευκολύνουν τη ζωή μας και να μας βοηθούν να πραγματοποιούμε συναλλαγές πιο άνετα. Αυτή η ιδέα έχει πάει ένα βήμα παραπέρα με την εμφάνιση των εφαρμογών «κοινής χρήσης», οι οποίες κάνουν τα πάντα, από παράδοση τροφίμων μέχρι ταξί και car sharing, ένας οικονομικότερος τρόπος χρήσης υπηρεσιών. Αλλά ενώ οι εφαρμογές car sharing είναι ανεκτίμητες για όσους έχουν χαμηλό εισόδημα και απομακρύνουν κάθε υπερπληρωμή ιδιοκτησίας ή συντήρηση οχημάτων, μπορούν επίσης να προσθέσουν έναν κίνδυνο ασφάλειας τόσο για τους κατασκευαστές όσο και για τους χρήστες.
Για να διαπιστώσουν την έκταση του προβλήματος, οι ερευνητές της Kaspersky Lab εξέτασαν 13 εφαρμογές car sharing, οι οποίες αναπτύχθηκαν από μεγάλους κατασκευαστές από διαφορετικές αγορές, οι οποίες – σύμφωνα με τα στατιστικά στοιχεία του Google Play – έχουν ληφθεί πάνω από 1 εκατομμύριο φορές. Η έρευνα διαπίστωσε ότι κάθε μια από τις εφαρμογές που εξετάστηκαν περιείχε διάφορα ζητήματα ασφάλειας. Επιπλέον, οι ερευνητές διαπίστωσαν ότι κακόβουλοι χρήστες ήδη αξιοποιούν κλεμμένους λογαριασμούς για εφαρμογές car sharing.
Αυτό είναι ιδιαίτερα ανησυχητικό, καθώς πρόσφατη έρευνα της Kaspersky Lab σχετικά με τη στάση των χρηστών απέναντι στην ασφάλεια των εφαρμογών, έδειξε ότι οι Ευρωπαίοι δεν βλέπουν τις εφαρμογές κοινής χρήσης αυτοκινήτων ως απειλή σε σύγκριση με άλλες εφαρμογές, όπως τα μέσα κοινωνικής δικτύωσης, οι υπηρεσίες ανταλλαγής άμεσων μηνυμάτων και οι τραπεζικές εφαρμογές, με λιγότερο από το 10% των ερωτηθέντων να έχουν βαθμολογήσει τις car sharing εφαρμογές ως αναξιόπιστες.
Ακολουθεί η λίστα των αδυναμιών ασφάλειας που εντοπίστηκαν:
- Δεν υπάρχει άμυνα ενάντια στις επιθέσεις τύπου man-in-the-middle. Αυτό σημαίνει ότι ενώ ένας χρήστης πιστεύει ότι είναι συνδεδεμένος σε έναν νόμιμο ιστότοπο, η κυκλοφορία στην πραγματικότητα διοχετεύεται ξανά μέσω του ιστότοπου του εισβολέα, επιτρέποντάς του να συλλέξει τυχόν προσωπικά δεδομένα που εισήγαγε το θύμα (login, κωδικούς, PIN κ.λπ.)
- Δεν υπάρχει άμυνα εναντίον αντίστροφης μηχανικής εφαρμογών. Αυτό έχει ως αποτέλεσμα, ένας εγκληματίας να μπορεί να κατανοήσει πώς λειτουργεί η εφαρμογή και να βρει μια ευπάθεια που θα του επιτρέπει να αποκτήσει πρόσβαση σε υποδομή του server.
- Δεν υπάρχουν τεχνικές ανίχνευσης rooting. Τα δικαιώματα root παρέχουν σε έναν κακόβουλο χρήστη σχεδόν ατελείωτες δυνατότητες και αφήνουν την εφαρμογή ανυπεράσπιστη.
- Έλλειψη προστασίας από τεχνικές επικάλυψης εφαρμογών. Αυτό βοηθάει τις κακόβουλες εφαρμογές να εμφανίζουν παράθυρα phishing και να κλέβουν τα στοιχεία σύνδεσης των χρηστών.
- Λιγότερες από τις μισές εφαρμογές απαιτούν ισχυρούς κωδικούς πρόσβασης από τους χρήστες, γεγονός που σημαίνει ότι οι εγκληματίες μπορούν να επιτεθούν στο θύμα μέσω ενός απλού σεναρίου brute force.
Μετά την επιτυχή εκμετάλλευση, ο επιτιθέμενος μπορεί να αποκτήσει διακριτικό έλεγχο του αυτοκινήτου και να το χρησιμοποιήσει για κακόβουλους σκοπούς – από τη δωρεάν διαδρομή και την κατασκοπεία των χρηστών έως την κλοπή του οχήματος και των λεπτομερειών του και για ακόμα πιο σοβαρά σενάρια, όπως η κλοπή των προσωπικών δεδομένων των χρηστών και η πώλησή τους στη μαύρη αγορά για οικονομικό όφελος. Αυτό θα μπορούσε να οδηγήσει σε εγκληματίες που πραγματοποιούν παράνομες και επικίνδυνες κινήσεις στους δρόμους υιοθετώντας την ταυτότητα άλλων ανθρώπων.
«Η έρευνά μας κατέληξε στο συμπέρασμα ότι, στην τρέχουσα κατάσταση, οι εφαρμογές για υπηρεσίες car sharing δεν είναι έτοιμες να αντέξουν τις επιθέσεις κακόβουλου λογισμικού. Και ενώ δεν έχουμε εντοπίσει ακόμη περιπτώσεις σοβαρών επιθέσεων κατά των υπηρεσιών car sharing, οι ψηφιακοί εγκληματίες κατανοούν την αξία που έχουν τέτοιες εφαρμογές και οι υπάρχουσες προσφορές στη μαύρη αγορά δείχνουν ότι οι πωλητές δεν έχουν πολύ χρόνο να αφαιρέσουν τα τρωτά σημεία», δήλωσε ο Victor Chebyshev, ειδικός ασφαλείας της Kaspersky Lab.
Οι ερευνητές της Kaspersky Lab συμβουλεύουν τους χρήστες των εφαρμογών car sharing να λαμβάνουν τα ακόλουθα μέτρα προκειμένου να προστατεύσουν τα αυτοκίνητα και τα προσωπικά τους δεδομένα από πιθανές ψηφιακές επιθέσεις:
- Μη κάνετε root την Android συσκευή σας, καθώς αυτό θα ανοίξει σχεδόν απεριόριστες δυνατότητες σε κακόβουλες εφαρμογές.
- Διατηρήστε την έκδοση λειτουργικού συστήματος της συσκευής σας ενημερωμένη για να μειώσετε τις ευπάθειες του λογισμικού και τον κίνδυνο επίθεσης.
- Εγκαταστήστε μια αποδεδειγμένη λύση ασφαλείας για να προστατεύσετε τη συσκευή σας από ψηφιακές επιθέσεις.
Για περισσότερες πληροφορίες σχετικά με την απειλή που κρύβουν οι εφαρμογές car sharing, μπορείτε να διαβάσετε το blogpost στον ειδικό ιστότοπο Securelist.com